Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:Artikel 26 Geavanceerde tests van ICT-instrumenten, -systemen en -processen op basis van TLPT

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 26 Geavanceerde tests van ICT-instrumenten, -systemen en -processen op basis van TLPT

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Overeenkomstig lid 8, derde alinea, van dit artikel aangewezen andere financiële entiteiten dan de in artikel 16, lid 1, eerste alinea, bedoelde entiteiten en dan micro-ondernemingen verrichten ten minste om de drie jaar geavanceerde tests uit door middel van TLPT. Op basis van het risicoprofiel van de financiële entiteit en rekening houdend met operationele omstandigheden kan de bevoegde autoriteit, indien nodig, de financiële entiteit verzoeken deze frequentie te verlagen of te verhogen.

2.

Elke dreigingsgestuurde penetratietest heeft betrekking op meerdere of alle kritieke of belangrijke functies van een financiële entiteit en worden uitgevoerd op systemen die prestaties in het reële leven verrichten ter ondersteuning van deze functies.

Financiële entiteiten bepalen alle relevante onderliggende ICT-systemen, -processen en technologieën ter ondersteuning van kritieke of belangrijke functies en ICT-diensten, met inbegrip van die ter ondersteuning van uitbestede of met derde aanbieders van ICT-diensten contractueel overeengekomen kritieke of belangrijke functies.

Financiële entiteiten beoordelen voor welke kritieke of belangrijke functies TLPT moeten worden verricht. Het resultaat van die beoordeling bepaalt het exacte toepassingsgebied van TLPT en wordt door de bevoegde autoriteiten gevalideerd.

3.

Wanneer derde aanbieders van ICT-diensten binnen het toepassingsgebied van de TLPT vallen, neemt de financiële entiteit de nodige maatregelen en waarborgen om de deelname van deze derde aanbieders van ICT-diensten aan de TLPT te waarborgen en behoudt de financiële entiteit de volledige verantwoordelijkheid voor het waarborgen van de naleving van deze verordening.

4.

Onverminderd lid 2, eerste en tweede alinea, kunnen, indien redelijkerwijs mag worden verwacht dat de deelname van een derde aanbieder van ICT-diensten aan de TLPT, als bedoeld in lid 3, een negatief effect zal hebben op de kwaliteit of de beveiliging van diensten die door de derde aanbieder van ICT-diensten worden verleend aan klanten die entiteiten zijn die buiten het toepassingsgebied van deze verordening vallen, of op de vertrouwelijkheid van de gegevens met betrekking tot dergelijke diensten, de financiële entiteit en de derde aanbieder van ICT-diensten schriftelijk overeenkomen dat de derde aanbieder van ICT-diensten rechtstreeks een contractuele overeenkomst sluit met een externe tester voor de uitvoering, onder leiding van één aangewezen financiële entiteit, van een gebundelde TLPT waarbij meerdere financiële entiteiten betrokken zijn waaraan de derde aanbieder van ICT-diensten ICT-diensten verleent (gebundelde tests).

Deze gebundelde tests hebben betrekking op het relevante gamma van ICT-diensten die kritieke of belangrijke functies ondersteunen waarvoor de financiële entiteiten met de respectieve derde aanbieders van ICT-diensten een contract hebben gesloten. De gebundelde tests worden beschouwd als TLPT die worden uitgevoerd door de financiële entiteiten die aan deze tests deelnemen.

Het aantal financiële entiteiten dat deelneemt aan de gebundelde tests wordt afgestemd op de complexiteit en de aard van de betrokken diensten.

5.

Met de medewerking van derde aanbieders van ICT-diensten en andere betrokken partijen, inclusief testers, maar exclusief de bevoegde autoriteiten, passen de financiële entiteiten doeltreffende risicobeheerscontroles toe om de risico's van potentiële effecten op gegevens, schade aan activa en verstoring van kritieke of belangrijke functies, diensten of activiteiten bij de financiële entiteit zelf, bij haar tegenhangers of in de financiële sector te mitigeren.

6.

Na afloop van de tests, nadat overeenstemming is bereikt over verslagen en correctieplannen, verstrekken de financiële entiteit en, waar van toepassing, de externe testers aan de autoriteit een overeenkomstig de leden 9 en 10 opgestelde samenvatting van de relevante bevindingen, de correctieplannen en de documentatie waaruit blijkt dat de TLPT in overeenstemming met de vereisten is verricht.

7.

Die autoriteit bezorgt een attest aan de financiële entiteit waarin wordt bevestigd dat de test in overeenstemming met de in de documentatie genoemde vereisten is verricht om de wederzijdse erkenning van dreigingsgestuurde penetratietests tussen bevoegde autoriteiten mogelijk te maken. De financiële entiteit stelt de relevante bevoegde autoriteit in kennis van het attest, de samenvatting van de relevante bevindingen en de correctieplannen.

Onverminderd een dergelijk attest, blijven financiële entiteiten te allen tijde volledig verantwoordelijk voor de gevolgen van de in lid 4 genoemde tests.

8.

Financiële entiteiten stellen testers aan om TLPT te verrichten overeenkomstig artikel 27. Wanneer financiële entiteiten interne testers gebruiken om TLPT te verrichten, stellen zij om de drie tests externe testers aan.

Kredietinstellingen die overeenkomstig artikel 6, lid 4, van Verordening (EU) nr. 1024/2013 als belangrijk zijn aangemerkt, zetten alleen externe testers in overeenkomstig artikel 27, lid 1, punten a) tot en met e).

De bevoegde autoriteiten bepalen welke financiële entiteiten de verplichting opgelegd krijgen TLPT te verrichten, rekening houdend met de criteria in artikel 4, lid 2, op basis van een beoordeling van:

a)

effectgerelateerde factoren, met name de mate waarin de diensten en de activiteiten van de financiële entiteit effecten hebben op de financiële sector;

b)

mogelijke bezorgdheid over financiële stabiliteit, met inbegrip van het systemisch karakter van de financiële entiteit op Unieniveau of op nationaal niveau, indien van toepassing;

c)

het specifieke ICT-risicoprofiel, het niveau van maturiteit inzake ICT van de financiële entiteit of de technologische kenmerken in het geding.

9.

De lidstaten kunnen één enkele overheidsinstantie in de financiële sector aanwijzen die verantwoordelijk is voor TLPT-gerelateerde aangelegenheden in de financiële sector op nationaal niveau en belasten die instantie daartoe met alle nodige bevoegdheden en taken.

10.

Indien een aanwijzing van één enkele overheidsinstantie overeenkomstig lid 9 van dit artikel ontbreekt, en onverminderd haar bevoegdheid te bepalen welke financiële entiteiten de verplichting krijgen opgelegd TLPT te verrichten, kan een bevoegde autoriteit de uitvoering van sommige of al de in dit artikel en artikel 27 genoemde taken aan een andere nationale autoriteit in de financiële sector delegeren.

11.

De ETA's ontwikkelen, in overeenstemming met de ECB gemeenschappelijke ontwerpen van technische reguleringsnormen overeenkomstig het Tiber-EU-kader, tot nadere bepaling van:

a)

de voor de toepassing van lid 8, tweede alinea, gebruikte criteria;

b)

de vereisten en normen inzake het inzetten van interne testers;

c)

de vereisten met betrekking tot:

i)

het toepassingsgebied van de in lid 2 bedoelde TLPT;

ii)

de te volgen testmethodologie en -aanpak voor elke specifieke fase van het testproces;

iii)

de resultaten, de afsluitings- en de correctiefase van de tests;

d)

het soort samenwerking op het gebied van toezicht evenals andere relevante vormen van samenwerking die noodzakelijk zijn voor de uitvoering van TLPT en ter facilitering van wederzijdse erkenning van die tests, in het geval van financiële entiteiten die in meer dan een lidstaat actief zijn, teneinde een passend niveau van betrokkenheid van toezichthouders en een flexibele uitvoering mogelijk te maken rekening houdend met de specifieke kenmerken van financiële subsectoren of lokale financiële markten.

Bij het ontwikkelen van die ontwerpen van technische reguleringsnormen, houden de ETA's terdege rekening met elk specifiek kenmerk dat voortvloeit uit de specifieke aard van de activiteiten in verschillende financiëledienstensectoren.

De ETA's leggen deze ontwerpen van technische reguleringsnormen uiterlijk op 17 juli 2024 voor aan de Commissie.

Aan de Commissie wordt de bevoegdheid gedelegeerd om deze verordening aan te vullen door de in de eerste alinea bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.

Deze functie is alleen te gebruiken als je bent ingelogd.